Что нового в поиске угроз

По сравнению с предыдущей версией, поиск угроз в Kaspersky EDR Expert 8.0 существенно изменился:

• Новый подход к пользовательским правилам IOA предусматривает создание пользовательских правил корреляции в корреляторе KUMA.
• Создание правил IOA на основе условий поиска событий больше не доступно.
• Для импорта правил IOA из файла IOC или файла YAML с правилом Sigma используется внешняя утилита.
• Для управления исключениями из правил IOA необходимо настроить фильтры событий в политиках для приложений Endpoint Agent.
• В Kaspersky EDR Expert используется новая модель данных для событий и новый синтаксис для поиска событий.

В начало